◆趙少飛 楊睿超

淺談企業(yè)安全管理中SOAR技術(shù)的應(yīng)用

◆趙少飛 楊睿超

（陜西省網(wǎng)絡(luò)與信息安全測評(píng)中心 陜西 710065）

互聯(lián)網(wǎng)在給人們的生活帶來便利的同時(shí)，各種網(wǎng)絡(luò)安全威脅也不斷發(fā)生，特別是數(shù)據(jù)泄露、DDoS攻擊以及僵尸網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)攻擊日益嚴(yán)峻，傳統(tǒng)的安全防護(hù)手段已難以應(yīng)對。網(wǎng)絡(luò)安全的攻防對抗越來越激烈，在網(wǎng)絡(luò)防護(hù)上單純的防范和阻止措施已經(jīng)無法滿足網(wǎng)絡(luò)安全需求，必須更加重視檢測和響應(yīng)。企業(yè)應(yīng)當(dāng)構(gòu)建一個(gè)集阻斷、檢查、響應(yīng)、預(yù)防為一體的新的安全防護(hù)系統(tǒng)。而基于SOAR技術(shù)框架下構(gòu)建的安全管理平臺(tái)可以實(shí)現(xiàn)并滿足企業(yè)在新形勢下的網(wǎng)絡(luò)安全需求。

SOAR；安全編排；響應(yīng)

1 什么是SOAR

SOAR的全稱是SecurityOrchestration，AutomationandResponse，意即安全編排自動(dòng)化與響應(yīng)。該技術(shù)以安全運(yùn)行和維護(hù)的領(lǐng)域?yàn)榻裹c(diǎn)，重點(diǎn)解決安全響應(yīng)的問題，最早由Gartinr在2015年提出。當(dāng)時(shí)，Gartner將SOAR定義為SecurityOperations，Analytics and Reporting（安全運(yùn)維分析與報(bào)告）。隨著網(wǎng)絡(luò)安全技術(shù)的快速演變，Gartner對SOAR進(jìn)行重新定義，定義為安全編排自動(dòng)化和響應(yīng)。并將其看作是安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)和威脅情報(bào)平臺(tái)三種技術(shù)的融合。SOAR從各種來源獲取輸入，通過工作流的方式聯(lián)通各種安全過程和規(guī)程，向安全運(yùn)營者提供安全自動(dòng)化管理解決方案。這些過程和規(guī)程（通過與其他技術(shù)的整合）被編制，自動(dòng)執(zhí)行，可以達(dá)到預(yù)期的結(jié)果。例如威脅管理、事件應(yīng)答、威脅信息、合規(guī)管理。

2 SOAR的核心技術(shù)

SOAR的三大核心技術(shù)分別是安全編排和自動(dòng)化、安全事件響應(yīng)平臺(tái)和威脅信息平臺(tái)。

2.1 安全編排與自動(dòng)化

所謂安全編排，是指通過可編程接口（API）和人工檢查點(diǎn)，將企業(yè)不同系統(tǒng)或系統(tǒng)內(nèi)不同組件的安全能力安裝一定邏輯關(guān)系進(jìn)行組合以完成特定的安全操作。例如，可以將對用戶接收的可疑郵件進(jìn)行深度檢測和響應(yīng)（操作）的過程進(jìn)行分析，將郵件的發(fā)送者、URL鏈路、IP等作為基本信息查詢威脅信息系統(tǒng)。將附件發(fā)送到沙箱系統(tǒng)進(jìn)行分析，根據(jù)從威脅信息系統(tǒng)和沙箱系統(tǒng)返回的信息，通知郵件系統(tǒng)，進(jìn)一步?jīng)Q定是否刪除該郵件或附件，是否通過EDR獲得收件人終端上的進(jìn)一步信息進(jìn)行分析。上述可疑郵件分析的過程是將郵件系統(tǒng)、威脅信息系統(tǒng)、沙箱系統(tǒng)、EDR等系統(tǒng)按一定邏輯組合而成的例子。安全自動(dòng)化（Automation）在這里特別是指自動(dòng)化的編排過程，即特殊的編排。如果配置過程是根據(jù)完全相關(guān)聯(lián)的每個(gè)系統(tǒng)的API來實(shí)現(xiàn)的，則可以自動(dòng)執(zhí)行。

2.2 安全事件響應(yīng)平臺(tái)

安全事件響應(yīng)平臺(tái)在SOAR出現(xiàn)之前就存在。它是對Incident的響應(yīng)和處理的平臺(tái)。但是，SOAR出現(xiàn)后，安全事件響應(yīng)、安全組織和自動(dòng)化的組合大大提高了響應(yīng)能力。通常，安全事件響應(yīng)包括警報(bào)管理、日程管理、案件管理等功能。

警報(bào)管理的核心不僅是安全事件的收集、展示和響應(yīng)，更是強(qiáng)調(diào)了警報(bào)分診和警報(bào)搜查。只有通過警告分診和警報(bào)調(diào)查，才能提高警告質(zhì)量，減少警告數(shù)量。

工單管理適用于中大型安全運(yùn)行維護(hù)團(tuán)隊(duì)聯(lián)合化、流化報(bào)警處理和響應(yīng)，確保響應(yīng)過程可記錄、可測量、可審查。

事件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。事件管理有助于用戶對一系列相關(guān)警報(bào)進(jìn)行處理，并持續(xù)進(jìn)行調(diào)查分析和響應(yīng)處理。關(guān)于這個(gè)事件的痕跡物證（IOC）和攻擊者的戰(zhàn)術(shù)過程指標(biāo)信息（TTP）不斷累積。同時(shí)執(zhí)行多個(gè)事件，并持續(xù)跟蹤一系列安全事件。

2.3 威脅情報(bào)平臺(tái)

威脅信息平臺(tái)協(xié)助用戶通過與多源威脅信息的收集、關(guān)聯(lián)、分類、共享、集成以及其他系統(tǒng)的匹配來實(shí)現(xiàn)攻擊的截?cái)?、檢測、響應(yīng)。

3 SOAR在企業(yè)運(yùn)維中的優(yōu)勢

將SOAR技術(shù)運(yùn)用到企業(yè)運(yùn)維管理中，可以彌補(bǔ)傳統(tǒng)SOC運(yùn)營中常見的一些短板，具體表現(xiàn)為：

3.1 企業(yè)運(yùn)維中事多人少的狀況

企業(yè)在安全運(yùn)維過程中常常面臨有限的運(yùn)維人員，大量的運(yùn)維事件和告警，雖然利用傳統(tǒng)的soc系統(tǒng)可以處理部分事件和告警，但是在重大時(shí)期或緊急情況下，面對大量不同的事件和告警，人工無法及時(shí)有效處理，會(huì)導(dǎo)致系統(tǒng)處于危險(xiǎn)狀態(tài)。同時(shí)，也對運(yùn)維人員造成很大的工作壓力，導(dǎo)致運(yùn)維工作容易出錯(cuò)。

3.2 企業(yè)運(yùn)維響應(yīng)時(shí)間較長

從響應(yīng)方案的確定到執(zhí)行，除了隊(duì)伍的內(nèi)部協(xié)作之外，還需要加入EDDR/NDR設(shè)備。手動(dòng)執(zhí)行鎖定等操作，可能需要在不同的系統(tǒng)和工具之間進(jìn)行切換，涉及需要審批流程時(shí)，無法及時(shí)進(jìn)行響應(yīng)，無法短時(shí)間對危險(xiǎn)或破壞進(jìn)行阻斷。

3.3 運(yùn)維人員知識(shí)積累不足

企業(yè)在進(jìn)行事件響應(yīng)處置時(shí)，針對某個(gè)具體的安全事件，需選擇相適應(yīng)的處置方式，必須擁有豐富的運(yùn)維處置經(jīng)驗(yàn)的運(yùn)維人員才能及時(shí)快速進(jìn)行事件響應(yīng)處理。而SOAR可以將這些運(yùn)維人員的處置經(jīng)驗(yàn)，按照固定的留存并且進(jìn)行固化，形成案例庫。案例庫就是SOAR的一個(gè)主要功能，其固化了安全專家的經(jīng)驗(yàn)，運(yùn)維響應(yīng)可以借鑒案例庫中的響應(yīng)流程對運(yùn)維事件繼續(xù)處置。

4 SOAR在企業(yè)安全管理中的作用

網(wǎng)絡(luò)攻擊隨時(shí)可能發(fā)生。一般情況，攻擊者首先開始攻擊。運(yùn)維人員可能會(huì)發(fā)現(xiàn)異常并進(jìn)行防守。防守具有一定的延遲性，特別是人工防守，涉及制定防守計(jì)劃、多人合作、多設(shè)備聯(lián)動(dòng)、審查、工作流等，響應(yīng)時(shí)間可能會(huì)花費(fèi)較長時(shí)間。

SOAR有助于將復(fù)雜的事件響應(yīng)過程轉(zhuǎn)換為一致的、可重復(fù)的、可測量的工作流。SOAR將多個(gè)系統(tǒng)和平臺(tái)聯(lián)動(dòng)，調(diào)整不同的安全工具和技術(shù)，以人和技術(shù)結(jié)合方式編入到業(yè)務(wù)流程中，為了簡化安全流，創(chuàng)建手動(dòng)和自動(dòng)協(xié)作操作的工作流步驟，加快事件響應(yīng)，減少事件響應(yīng)時(shí)間。

完整的安全運(yùn)營中心是人、技術(shù)、流程的集合體。以SIEM技術(shù)為中心的SOC平臺(tái)或安管平臺(tái)致力于為安全運(yùn)行運(yùn)維人員提供一個(gè)技術(shù)平臺(tái)。但實(shí)際上從來沒有實(shí)現(xiàn)人和技術(shù)的統(tǒng)一，至于流程管理就更不用說了。人、流程和SOC平臺(tái)之間總是有間隙的。SOAR正好填補(bǔ)這一空白，以整合人、流程和技術(shù)為使命，使我們向真正的SOC又邁進(jìn)了一步。

[1]邢家鳴，王貴智.SOAR技術(shù)在銀行業(yè)應(yīng)用淺析[J].中國金融電腦，2020（07）.

[2]Gily Netzer.如何讓SOC實(shí)現(xiàn)更高效率[J].網(wǎng)絡(luò)安全和信息化，2020（03）.